AWS Online Summit Japan(2021/5/11~12)参加レポ ②

はじめに

こんにちはyuuunです。
先月開催していたAWS Online Summit Japanの参加レポートの第二弾となります。
第一弾を読んでいただけている方は以下参加した目的、参加したセッションは第一弾と重複する内容となっているので飛ばして読んでいただけると幸いです。

参加した目的

4月に開催したAWSome Daysでは体系的にAWSの良さや主要のサービスについて学ぶことができたのでそこから更に基本的なサービスについて深堀して学びたいと思ったためです。

参加したセッション

参加したセッションは以下になります。
本イベントではセッション数が150を超えていたのでどうやって自分が学びたい内容のセッションを探せるか不安だったのですが、セッションの種類やタグで探すことができるようになっていました。
そのため今回は初学者向けのタグのついていたセッションの中からいくつか選択して参加してみました。

参加したセッション一覧

・初学者向け AWS 学習パス ~まずはクラウドプラクティショナー認定資格から~
・【基本の AWS サービス】今日からはじめる！ AWS のデータベースと最適なサービスの選び方
・【基本の AWS サービス】Amazon EC2 ことはじめ　〜あらゆるワークロードに対応する豊富な選択肢とコスト最適化オプション〜
・【基本の AWS サービス】入門！ AWS アイデンティティサービス
・【基本の AWS サービス】進化した Amazon S3 を最大限に活用する
・【基本の AWS サービス】AWS アカウントを守るためにおさえておきたいセキュリティ対策
・【基本の AWS サービス】初心者向け Amazon VPC を中心としたネットワークの構成解説！
※公式サイトはこちら

その中で特に印象に残った何点かのセッションについて記事を分けて記述します。
第二弾は以下セッションです。

【基本の AWS サービス】入門！ AWS アイデンティティサービス

こちらは初心者向けのタグが付いていたセッションだったので参加しました。
そもそもアイデンティティサービスとは何なのかという点から以下箇条書きと自分の感想を交えて記載します。

アジェンダ
・AWSのアイデンティティ
・マルチアカウント環境でのアイデンティティ管理
・最小権限を実現するためのテクニック

・AWSのアイデンティティ

AWSのアイデンティティは以下３つの基本要素があり、それぞれの管理対象を管理するために様々な管理方法がある。
・Who(誰が)
・can access(アクセスできる)
・What(何に)

それぞれの管理の対象
Who(誰が)　　　　　　　
→管理の対象：名前やメタデータ(所属や役職)など　　

can access(アクセスできる)
→管理の対象：ポリシーやコンプライアンス

What(何に)
→管理の対象：単一やグループ、共有されたリソース

それぞれの管理方法
Who(誰が)　　　　　　　
→アイデンティティ管理　　
標準的な管理方法　Active DirectoryやSAML/OIDCなど
　　
can access(アクセスできる)
→アクセス管理
環境に応じた管理方法

What(何に)
→リソース管理
環境に応じた管理方法

・AWSのアクセス管理　

IAMでできること
IAMとはAWS Identity and Access Management の略。
IAMではアクセス許可をポリシーで定義でき、数種類のアクセス定義方法を用意しているので
IAMを使用することでアイデンティティ、アクセス、リソースの管理を行うことができる。

・マルチアカウント環境でのアイデンティティ管理　

AWSアカウントとは
・課金の分離単位
・AWS環境の分割単位、リソース管理の枠組み
・サービスクォータ(サービス制限)の単位
・セキュリティの境界
AWSアカウントは一つのコンテナと考えることができる(アカウントというコンテナに複数のリソースがあるイメージ)。
そのため、単一のアカウントではこの境界や単位のメリットを活用できないが、AWS利用が進み、より多くのアプリケーションやサービスを管理する際にこの境界や単位が活用できる。

AWSアカウント利用のメリット
・ガバナンス
セキュリティ、及びガバナンス上の理由から開発環境、テスト環境、本番環境などでアカウントを分割することができる。
・課金
課金に関する可視性、責任、及びアカウントごとのコントロールができる。
・組織
リソースの操作権限を特定の事業部に委譲し、その中でより自由にAWSプラットフォームを活用しやすくすることができる。
・運用
構成変更時の影響範囲を小さくし、他の組織を気にすることなく自身固有の環境を利用することができる。

上記アカウント利用のメリットは便利な反面管理が難しくなってしまうというデメリットがあるが、
以下提供されているサービスを利用することによってアカウント管理が容易になる。

AWS Single Sign-On(SSO)
AWS アカウントとビジネスアプリケーションへのSSOを提供している
AWS Control Tower
ベストプラクティスにそったAWSマルチアカウント環境を簡単にセットアップできる

・最小権限実現のためのテクニック

・業務内容に応じた適切なアクセス権を必要なリソースに対して最小限にする
・継続的な確認：必要のないアクセス権を取り除く
　　ステップ１：IAMのアクセスアドバイザーで各AWSサービスの最終利用時間をチェックして使われていない権限を見つける
　　ステップ2：必要無いことを確認後、アクセス権限を削除する

まとめ

・AWSのアイデンティティの基本要素とは「Who(誰が)」、「can access(アクセスする)」、「What(何に)」で構成されている。
・上記アイデンティティをマルチアカウント環境とIAMを使用して管理することができる。
・マルチアカウント実現のために必要の無い権限を取り除いて最小権限にするのがベストプラクティスである。